Behandeln von Problemen mit Azure Key Vault-Zugriffsrichtlinien
Häufig gestellte Fragen
Ich kann Geheimnisse/Schlüssel/Zertifikate nicht auflisten oder abrufen. Es wird eine Fehlermeldung angezeigt, dass ein Problem aufgetreten sei.
Wenn beim Auflisten/Abrufen/Erstellen eines Geheimnisses oder beim Zugreifen auf ein Geheimnis Probleme auftreten, vergewissern Sie sich, dass Sie eine Zugriffsrichtlinie zum Ausführen des entsprechenden Vorgangs definiert haben: Key Vault-Zugriffsrichtlinien.
Wie kann ich ermitteln, wie und wann auf Schlüsseltresore zugegriffen wird?
Nachdem Sie einen oder mehrere Schlüsseltresore erstellt haben, möchten Sie vermutlich überwachen, wie, wann und von wem auf die Schlüsseltresore zugegriffen wird. Zur Überwachung können Sie die Protokollierung für Azure Key Vault aktivieren. Eine Schrittanleitung zum Aktivieren der Protokollierung finden Sie hier.
Wie kann ich die Tresorverfügbarkeit, Dienstwartezeiten oder andere Leistungsmetriken für einen Schlüsseltresor überwachen?
Wenn Sie damit beginnen, Ihren Dienst zu skalieren, steigt die Anzahl von Anforderungen, die an Ihren Schlüsseltresor gesendet werden. Dies kann die Latenz Ihrer Anforderungen erhöhen und in extremen Fällen zu einer Drosselung Ihrer Anforderungen führen – wodurch die Leistung Ihres Diensts abnimmt. Sie können Schlüsseltresor-Leistungsmetriken überwachen und Warnungen für bestimmte Schwellenwerte konfigurieren. Eine ausführliche Anleitung zum Konfigurieren der Überwachung finden Sie hier.
Ich kann die Zugriffsrichtlinie nicht ändern. Wie kann sie aktiviert werden?
Der Benutzer muss über ausreichende Microsoft Entra-Berechtigungen verfügen, um die Zugriffsrichtlinie zu ändern. In diesem Fall muss der Benutzer über die höhere Rolle „Mitwirkender“ verfügen.
Mir wird der Fehler „Unbekannte Richtlinie“ angezeigt. Was bedeutet das?
Es gibt zwei Gründe, warum im Abschnitt „Unbekannt“ möglicherweise eine Zugriffsrichtlinie angezeigt wird:
- Ein früherer Benutzer hatte Zugriff, aber dieser Benutzer ist nicht mehr vorhanden.
- Die Zugriffsrichtlinie wurde über PowerShell hinzugefügt, und dabei wurde die objectid der Anwendung anstelle des Dienstprinzipals verwendet.
Wie kann ich die Zugriffssteuerung pro Schlüsseltresorobjekt zuweisen?
Das Zuweisen von Rollen zu einzelnen Schlüsseln, Geheimnissen und Zertifikaten sollte vermieden werden. Ausnahmen von allgemeinen Anleitungen:
Szenarios, in denen einzelne Geheimnisse zwischen mehreren Anwendungen freigegeben werden müssen, zum Beispiel eine Anwendung muss auf Daten von einer anderen Anwendung zugreifen.
Wie kann ich die Schlüsseltresorauthentifizierung per Zugriffssteuerungsrichtlinie bereitstellen?
Die Authentifizierung einer cloudbasierten Anwendung bei Key Vault lässt sich am einfachsten mit einer verwalteten Identität bewerkstelligen. Einzelheiten hierzu finden Sie unter Authentifizieren bei Azure Key Vault. Wenn Sie eine lokale Anwendung erstellen, lokal entwickeln oder aus anderen Gründen keine verwaltete Identität verwenden können, können Sie stattdessen manuell einen Dienstprinzipal registrieren und mithilfe einer Zugriffssteuerungsrichtlinie Zugriff auf Ihren Schlüsseltresor bereitstellen. Informationen finden Sie unter Zuweisen einer Zugriffssteuerungsrichtlinie.
Wie kann ich der AD-Gruppe Zugriff auf den Schlüsseltresor gewähren?
Verwenden Sie entweder den Azure CLI-Befehl az keyvault set-policy oder das Azure PowerShell-Cmdlet „Set-AzKeyVaultAccessPolicy“, um der AD-Gruppe Berechtigungen für Ihre Key Vault-Instanz zu erteilen. Informationen dazu finden Sie unter Zuweisen einer Zugriffsrichtlinie – CLI und Zuweisen einer Zugriffsrichtlinie – PowerShell.
Für die Anwendung muss dem Schlüsseltresor darüber hinaus mindestens eine IAM-Rolle (Identity and Access Management, Identitäts- und Zugriffsverwaltung) zugewiesen werden. Andernfalls ist die Anmeldung nicht möglich, und es tritt ein Fehler aufgrund unzureichender Zugriffsberechtigungen für das Abonnement auf. Bei Microsoft Entra-Gruppen mit verwalteten Identitäten dauert es möglicherweise viele Stunden, bis das Token aktualisiert ist und wirksam wird. Siehe Einschränkung der Verwendung verwalteter Identitäten für Autorisierungzwecke.
Wie kann ich Key Vault per ARM-Vorlage erneut bereitstellen, ohne vorhandene Zugriffsrichtlinien zu löschen?
Derzeit werden bei der erneuten Key Vault-Bereitstellung alle Zugriffsrichtlinien in Key Vault gelöscht und durch die Zugriffsrichtlinie in der ARM-Vorlage ersetzt. Für Key Vault-Zugriffsrichtlinien gibt es keine inkrementelle Option. Wenn die Zugriffsrichtlinien in Key Vault erhalten bleiben sollen, müssen Sie die vorhandene Zugriffsrichtlinien in Key Vault lesen und die ARM-Vorlage mit diesen Richtlinien auffüllen, um Ausfälle beim Zugriff zu vermeiden.
Eine weitere für dieses Szenario hilfreiche Option ist die Verwendung von Azure RBAC und Rollen als Alternative zu Zugriffsrichtlinien. Mit Azure RBAC können Sie den Schlüsseltresor erneut bereitstellen, ohne die Richtlinie erneut anzugeben. Hier finden Sie weitere Informationen zu dieser Lösung.
Empfohlene Schritte zur Problembehandlung bei folgenden Fehlertypen
- HTTP 401: Nicht authentifizierte Anforderung: Schritte zur Problembehandlung
- HTTP 403: Unzureichende Berechtigungen: Schritte zur Problembehandlung
- HTTP 429: Zu viele Anforderungen: Schritte zur Problembehandlung
- Überprüfen Sie, ob Sie die Zugriffsberechtigung für den Schlüsseltresor gelöscht haben. Informationen dazu finden Sie unter Zuweisen einer Zugriffsrichtlinie – CLI, Zuweisen einer Zugriffsrichtlinie – PowerShell oder Zuweisen einer Zugriffsrichtlinie – Portal.
- Verwenden Sie das Authentifizierungs-SDK, wenn bei Ihnen ein Problem mit der Authentifizierung für den Schlüsseltresor im Code besteht.
Welche bewährten Methoden sollten implementiert werden, wenn der Schlüsseltresor gedrosselt wird?
Bewährte Methoden für diesen Fall finden Sie hier.
Nächste Schritte
Informieren Sie sich, wie Sie Fehler bei der Authentifizierung beim Schlüsseltresor beheben: Leitfaden zur Problembehandlung für Key Vault.